חשד: גורמים איראניים עומדים מאחורי מתקפת הסייבר על חברת עמיטל
התקיפה על החברה ועל חברות לוגיסטיקה נוספות נעשתה באמצעות נוזקת Pay2Key ששימשה בעבר את איראן לתקיפה של עשרות חברות וגורמים ישראליים. מהרגע שההאקרים קיבלו גישה למידע של עמיטל הם יכלו להיכנס למערכות שהותקנו אצל לקוחות החברה ומשם לנוע בין מחשבי הלקוחות
- המדינה חידשה את ההתקשרות עם שירביט - אך העובדים יוכלו לעבור לחברת ביטוח אחרת
- אוריין מאשרת: אנחנו אחת מעשרות החברות שנפגעו במתקפת הסייבר
- מתקפת ענק על שרשרת האספקה של מדינת ישראל
עידו נאור, מנכ''ל חברת הסייבר Security Joe, מסר כי: ״מחקירת הפרטים הגלויים, חוקרים בחברה זיהו כי מדובר במתקפה שמטרתה איסוף מודיעין ולא כופר לטובת רווח כלכלי. עוד נראה כי התוקפים אספו מידע על עמיטל והתוכנה אותה היא מספקת ללקוחותיה ורק לאחר מכן בחרו בחברה בתור מטרה. אנו מאמינים כי מדובר בתוקף המשויך בדרך כזו או אחרת עם גוף או מדינה עוינים לישראל והמידע שדלף לתוקפים מאותן חברות עלול בסבירות גבוהה להיות מידע בטחוני רגיש.״
הסיבה לכך שמידע רגיש עשוי היה לדלוף או היווה את המטרה האפשרית של ההאקרים היא שחלק מהחברות שהותקפו שימשו גם לעסקאות יבוא ויצוא של ציוד ביטחוני. מעבר לכך, הערכות שונות גם הצביעו על כך שהתוקפים אולי היו אלה שתקפו בשבוע שעבר את חברת הביטוח שירביט, אך עד כה לא נמצאה אינדיקציה חותכת לטענה מעבר לשעות הפעילות ולשיטת פעולה דומה. מעמיטל נמסר שאכן לא בוצעה עד כה דרישה לתשלום כופר. מגורמים אחרים בתחום הסייבר נמסר ששרתי החברה לא הוצפנו - מה שמצביע על כך שההאקרים גנבו את המידע ולא ניסו להשתמש בו כאמצעי סחיטה.
שימוש בנוזקות כופר ומתקפות סחיטה הפכו לנשק מאוד פופולרי בשנה האחרונה. ואולם במקרה הנוכחי ההערכה היא שמדובר על ניסיון לגנוב מידע - אם לצורך פעילות פלילית או מדינתית-אסטרטגית - ההאקרים לא ביצעו הצפנה בשרתים של עמיטל, וכך כנראה גם בחברות הנוספות שנפגעו. מהרגע שההאקרים קיבלו גישה למידע של עמיטל קל להם מאוד להיכנס דרך אמצעי גישה מרחוק למערכות שהותקנו אצל לקוחות החברה ומשם להמשיך ולנוע באופן רוחבי במחשבי הלקוחות. זו למעשה שיטת פעולה מסורתית של האקרים לפני עידן מתקפות הכופר, שהחלו לצבור תאוצה רק בחמש השנים האחרונות. מנגד אין זה מצביע בהכרח שלא מדובר בהאקרים פליליים.
כך למשל על פי נתוני צ'ק פוינט, בחודש נובמבר בלבד הותקפו 141 ארגונים וחברות ישראליות במתקפת כופר מבוססות נוזקה. ואולם אפשר לשער שהאקרים יכולים לשלב גם מוטיבציה אידאולוגית מעבר לנושא הכספי. כך למשל יכול להיות שההאקרים משמשים לכיסוי לפעילות של גורמים אידיאולוגיים, אך מנגד לא יבחלו בשימוש במידע לצרכיהם הפליליים. בחברה הישראלית כבר הזהירו בתחילת החודש ש"רצף האירועים האחרון בו אנו שומעים על יותר ויותר מתקפות מוצלחות על חברות ישראליות אינו מקרי, ועתיד למשוך עוד ועוד תוקפים לאיזור".
ממערך הסייבר הוסבר לנו שהם העבירו לחברות שונות כצעד יזום, "התרעה הכוללת סימנים מזהים שיסייעו ללקוחות החברה לזהות נסיונות מתקפה מסוג זה, לצד המלצות לצעדי התגוננות, הכלה ומניעה", כך נכתב בתגובת המערך לכלכליסט הבוקר, "הכוונה היא לקובץ המזהים שהפצנו עם ההתרעה לחברות בפוטנציאל פגיעה. מזהים אלו מהווים למעשה חתימה חד ערכית של של מאפייני התקיפה הנוכחית. כך ניתן לבדוק האם הם זוהו ברשתות המחשוב של הארגון או להסתייע באיש מקצוע, במטרה לוודא שהארגון לא נפגע או לחילופין לבדוק אם בוצע ניסיון מולו. כמו כן ניתן לדווח למערך הסייבר הלאומי בחיוג חינם 119".
המידע שנגנב מעמיטל נאסף בצורה מאוד שקטה, כך מסביר נאור, נאסף מודיעין באופן סיסטמטי וזה עשוי להוות איום בטחוני אם המידע כולל פרטים רגישים או חסויים. ניסיון העבר מלמד שהאקרים שמצליחים לקבל גישה לשרתים של חברה לא נוהגים לחשוף את עצמם לפני שסיימו את הפעולה שלהם או שנחשפו, הדבר יכול להצביע על כך שההאקרים אולי פעלו בתוך הרשת של החברה זמן רב לפני שהתגלו. עם זאת אין בשלב הנוכחי שום אינדיקציה שיכולה להצביע על כמה זמן עבר מרגע הפריצה בפועל עד להיום.